# Vias Ocultas ## Preparación de laboratorio Link: CyberConquer usa imágenes Docker para poder levantar los laboratorios, en este caso procedemos a descargar el archivo .zip, ¡No es necesario loguearse!
Una vez descargado el archivo zip, procedemos a descomprimirlo con el comando: · `unzip vias_ocultas.zip`
Para correr el laboratorio ejecutamos el archivo “script.sh” seguido el archivo .tar
Una vez ejecutado el comando nos aparecerá un banner donde podremos ver la IP de la maquina y un prompt donde podremos colocar las banderas a nivel usuario, un vez habiendo encontrado esa bandera aparecerá el prompt para la bandera root.
## Enumeración Una vez levantado el laboratorio comprobamos la conexión con la maquina mandándole 3 paquetes ICMP utilizando ping · `ping -c 3 172.17.0.3`
Una vez comprobando la conexión procedemos a enumerar puertos abiertos, servicio y sus versiones para identificar el vector de ataque, utilizando la herramienta nmap: · `sudo nmap -p- --open -sS -n 172.17.0.3 -oG AllPorts`
Identificamos 4 puertos abiertos, usando la bandera -sV miraremos la versión de cada servicio para ver si hay alguna vulnerabilidad en algo de estos mismos. Ya habiendo identificado los puertos abiertos hacemos el escaneo solo hacia esos puertos y no a todos con la bandera -p-. · `sudo nmap -p22,80,139,445 -sS -sV -Pn -n 172.17.0.3 -o Ports_Version`
Analizamos la página del puerto 80 para ver si podemos encontrar información relevante:
Con la herramienta dirsearch buscamos archivos o directorios ocultos: · `dirsearch -u http://172.17.0.3/`
Al ver que no hay información relevante o directorios ocultos, revisamos otro servicio en el cual podamos encontrar nuestro vector de ataque.\ \ Al revisar nuestro escaneo con nmap identificamos 2 puertos peculiares, el 139 y 445, estando usando el servicio de samba, nos vamos a concentrar en este servicio. Usaremos smbmap para enumerar archivos compartidos: · `smbmap -H 172.17.0.3`
Identificamos que podemos leer la carpeta llamada “desarrollo”, ingresamos para ver qué podemos encontrar, utilizaremos la herramienta smbclient: · `smbclient //172.17.0.3/desarrollo -N`
Encontramos un archivo llamado todo.txt, lo extraemos a nuestra maquina para poder abrirlo, o igual podemos leerlo en el mismo servidor smb con el comando more, pero siempre es importante guardar evidencia de todo. Al leer el archivo encontramos algo muy interesante, en la indicación de cambiar la contraseña dejaron codificada en base64.
Podemos saber eso con la herramienta dcode.fr:
Para decodificar la frase utilizamos el siguiente comando: · echo "Y2hhcmxpZTEyM3Bhc3M=" | base64 -d > pass.txt · -d: Indicamos que decodifique la cadena de texto que le pasamos · >: Indicamos que lo pase a un archivo, en este caso pass.txt
Encontramos una contraseña, ahora nos hace falta encontrar un usuario, para ello usaremos una herramienta muy buena llamada enum4linux, para poder enumerar usuarios, al igual que archivos compartidos y mucha más información importante:\
· `enum4linux -U 172.17.0.3 > usersmb`
¡Bingo!, tenemos credenciales, usuario y contraseña, procedemos a loguearnos por el servicio samba, ahora podemos entrar a la carpeta usuarios: · `enum4linux 172.17.0.3`
En este caso usé enum4linux para ver nuevamente las carpetas compartidas, pero es lo mismo que con smbmap, a diferencia que enum4linux nos brinda mucha más información al respecto. ## Explotación Nos conectamos nuevamente usando smbclient, pero ahora especificamos un usuario con la bandera -U: · `smbclient //172.17.0.3/usuarios -U charlie`
Listamos carpetas dentro y encontramos dos, vamos revisando una a una para poder encontrar información relevante,
El archivo .bash\_history encontramos una posible contraseña y otro usuario developer, intentamos usarla en el servicio ssh por el puerto 22, no sin antes guardar la contraseña en un archivo .txt, recuerden, siempre es importante guardar todo lo que encontremos.
Listo, entramos al servidor por ssh, listamos archivos, leemos la flag y pegamos, para procedemos a buscar elevar privilegios para encontrar la bandera root
## Post-Explotación Procedemos a buscar una manera de aprovechar algún servicio o archivo por permiso SUID para elevar nuestros privilegios a root. Para buscar archivos con permisos SUID, ejecutamos el siguiente comando: · `find / -perm -4000 -type f 2>/dev/null` · Buscamos desde raiz todos los archivos que tengan permisos de root · Los demás lo mandamos al /dev/null
Encontramos uno muy peculiar “find”, para saber aprovecharlo, podemos ir a la página gtfobins: Buscamos find, para que nos indique como aprovecharnos de esto:
Estando ahí vamos a la sección SUID, y buscamos los comandos que necesitamos, es importante aclarar que no siempre se necesitan todos los comandos que indican, ya es cuestión que vayamos probando, en este caso, al usar todo lo que nos indica nos da un error,
Al ejecutarlo tal cual, el comando sudo hará que nos pida contraseña, la cual no tenemos, en este caso, solo ponemos lo siguiente: · `find . -exec /bin/sh -p \; -quit`
Eso nos dará enseguida un sh como usario root, procedemos a movernos a la carpeta root y leemos la flag, la pegamos en el script del laboratorio y listo.